Gemeinsamkeiten zwischen geknackten WP-Blogs

[waldorf]

Mir ist die Gefahr noch nicht ganz klar.

• Handelt es sich also um WP oder plugin Code?
• Handelt es sich bei den Fällen um Schlamperei bei den Passwörtern?

[msi]

Zitat:

Zitat von waldorf

Handelt es sich also um WP oder plugin Code?

Das soll ja eben durch diesen Beitrag herausgefunden werden.

Zitat:

Handelt es sich bei den Fällen um Schlamperei bei den Passwörtern?

Sagen wir mal so: wenn du einen bekannten Benutzernamen hast (admin) und dazu vllt noch ein recht simples Passwort, dann kannst du deinen Blog auch gleich für die Allgemeinheit öffnen. Ob das nun mit den entdeckten Angriffen zu tun hat, ist unerheblich. Schwache Benutzernamen/Passworte waren schon immer in jeder Software ein Problem.

[wet]

Zitat:

Zitat von Herr Schmidt

gibt es eine einfache Möglichkeit die eigene Seiten schnell auf eventuellen Spam zu checken?

Ziemlich einfache Methode: Suche in Google nach "site:deineseite.de porn" und "site:deineseite.de poker" und "site:deineseite.de viagra". Damit hast du zwar nicht die Sicherheit, dass dein Blog nicht gehackt wurde - aber wenn du hier Suchtreffer erhältst, bist du auf jeden Fall getroffen .

Noch besser ist, du setzt gleich einen Google-Alert auf solche Sachen an (ein Tipp von TalkPress).

[Alphawolf]

Zitat:

Zitat von wet

Noch besser ist, du setzt gleich einen Google-Alert auf solche Sachen an (ein Tipp von TalkPress).

Das ist doch mal ein guterr Tipp.

[FrankH]

Zitat:

Damit hast du zwar nicht die Sicherheit, dass dein Blog nicht gehackt wurde - aber wenn du hier Suchtreffer erhältst, bist du auf jeden Fall getroffen .

Sorry, aber das sollte man so nicht stehen lassen. Wenn Du da Suchergebnisse hast bist Du noch gar nich getroffen. Solche Wörter finden sich oftmals einfach ein alten Beiträgen in denen man einfach mal drüber gebloggt hat oder sonstiges. Außerdem wurde in den mir bekannten Fällen kein wirkliches auffälliges Wort verwendet an denen man das ganze festmachen könnte. "Viagra" wurde z.B. (mit gutem Grund) auf die übliche, aus Spammails bekannte weise verschlüsselt (\/|A$G$RA etc.).

Eine solche Suchabfrage sollte also weder Panik noch Sicherheit vermitteln - sie ist eine, eher schlechte Möglichkeit vielleicht irgendwas zu finden. Eine Datenbanksuche nach Patterns wie "visibility: hidden" und ähnlichen Formatierungsstrings dürfte da zielführender sein - das gelbe vom Ei ist sie aber auch nicht.

[Alphawolf]

Um Cloaking auf die Schliche zu kommen, ist das aber ein probates Mittel. Viele Viagra-Spammer lassen ihre Viagra-Links ja nur noch anzeigen, wenn der User-Agent des "Betrachters" ein Bot ist... so habe ich z.B., über Yahoo, versteckte Links in meinem Blog gefunden, die ich als menschlicher Betrachter nie zu Gesicht bekommen hätte.

[ststone]

Ich bin leider ebenfalls betroffen. Habe zur Sicherheit einmal mein Passwort geändert und den admin Account gelöscht.

Zu den Plugins
Aktivierte Plugins:
Akismet 2.0
Cloudy 1.3 BETA
Guestbook Generator 0.8
myGallery 1.4b1
Optimal Title 2.0
semmelstatz 3.0.1

Deaktivierte Plugins:
Follow-URL 1.0
Hello Dolly 1.5
o42-clean-umlauts 0.2.0
Search Everything 3.01
Time Zone 2.1
Update-Monitor 1.3
YiGG WordPress Plugin 1.0

Ich hoffe wir finden das Problem bald.

[Monika]

wildrumspekulier

die Passwörter des Adminaccounts waren entweder dasjenige, das bei der Installation vergeben wurde oder ureinfache Worte

[berlindave]

Zitat:

Zitat von Monika

wildrumspekulier

die Passwörter des Adminaccounts waren entweder dasjenige, das bei der Installation vergeben wurde oder ureinfache Worte

Also bei mir, was das Passwort betrifft, jedenfalls nicht. Ich schließe mich daher eher der Vermutung an, dass das Cookie ausspioniert wurde. Wie genau, ist jedoch noch unklar.

[Lou_Cipher]

trifft es jeden oder hatte ich bis jetzt nur Glück. Bis Gestern admin als usern ame und 4 Zahlen als passwort.